Zahardkodowane hasło w jednym z pluginów do Confluence. Daje nieuwierzytelniony dostęp do ~wszystkich danych. CVE-2022-26138

21 lipca 2022, 10:48 | W biegu | komentarze 3

Wygląda to trochę jak backdoor.

Problem występuje w pluginie Questions for Confluence, a Atlassian pisze o temacie w ten sposób:

The disabledsystemuser account is created with a hardcoded password and is added to the confluence-users group, which allows viewing and editing all non-restricted pages within Confluence by default. A remote, unauthenticated attacker with knowledge of the hardcoded password could exploit this to log into Confluence and access any pages the confluence-users group has access to.

“Szczęśliwe” credentiale to:

User: disabledsystemuser
Username: disabledsystemuser
Email: dontdeletethisuser@email.com
Password: [podrzucimy-w-update-newsa]

Co ciekawe, użytkownik nie jest usuwany, nawet jeśli usuniemy feralny plugin (użytkownika należy usunąć ręcznie):

Jeden z komentujących podatność słusznie zauważa:

The fact this something like this ended up in a production release is pretty mind boggling.
Really demonstrates a lack of good practices being followed for development/testing/approval for release to consumers.

~ms

Komentarze

Slawek

21 lipca, 2022 | 5:37 pm

Starczy dekompilacja jar-a
https://www.youtube.com/watch?v=DxNGdjFg4FI

Odpowiedz
- sekurak
  
  21 lipca, 2022 | 10:22 pm
  
  tak ;) https://twitter.com/fluepke/status/1549892089181257729
  
  Odpowiedz
AntiTlassian

25 lipca, 2022 | 1:42 am

Równie nienormalne wydaje mi się, że system wtyczek może sobie ot tak machnąć konto z takimi uprawnieniami. Ale od dawna uważam, że Confluence i Jira to takie WordPressy w świecie IT.

Odpowiedz

Najnowsza książka sekuraka!

Zahardkodowane hasło w jednym z pluginów do Confluence. Daje nieuwierzytelniony dostęp do ~wszystkich danych. CVE-2022-26138

Spodobał Ci się wpis? Podziel się nim ze znajomymi:

Komentarze

Odpowiedz